Agem em cima de uma única máquina. Normalmente são instalados na própria máquina que se deseja proteger e monitoram chamadas do sistema operacional ou atividades de uma aplicação específica. Comumente chamados de Host-based IDS (HIDS).

Agem em cima de um segmento de rede. São instalados em uma máquina que faz parte do segmento de rede. Monitoram o tráfego no segmento de rede do qual a interface de monitoramento faz parte. Os IDSs de rede são chamados de NIDS. Um NIDS é capaz de detectar atividade suspeita em uma rede inteira que se encontra atrás dele, porém, como age no nível do sistema operacional, um HIDS é capaz de obter informações mesmo que elas não trafeguem pela rede. Em arquiteturas reais, é muito comum a combinação de NIDS e HIDS de modo a obter uma proteção mais completa.